COSA?
La disciplina sulla protezione dei dati personali subirà un significativo rinnovamento con il regolamento UE 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, comunemente denominato GDPR (General Data Protection Regulation).
QUANDO?
Il suddetto regolamento (approvato il 14 aprile 2016 dal Parlamento Europeo) si applicherà automaticamente in tutti gli Stati membri dell’UE a partire dal 25 maggio 2018.
CHI?
– l’interessato, inteso come beneficiario del diritto alla protezione dei dati, è la PERSONA FISICA, cioè il soggetto che potrebbe vedere pregiudicata la propria identità e la propria vita quotidiana;
– i soggetti attivi coinvolti dalla riforma sono le IMPRESE, PUBBLICHE E PRIVATE, E LE PUBBLICHE AMMINISTRAZIONI, specificamente nelle figure del TITOLARE DEL TRATTAMENTO (colui che decide le sorti del trattamento) ed il RESPONSABILE DEL TRATTAMENTO (colui che opera per conto del titolare).
DOVE?
L’ambito applicativo del nuovo regolamento, dal punto di vista territoriale, riguarderà tutti gli Stati membri dell’UE, estendendosi altresì ad alcuni spazi di extraterritorialità: ad esempio, se il soggetto che tratta i dati è stabilito nell’Unione, non rileva una eventuale delocalizzazione del trattamento (che può, dunque, effettuarsi anche al di fuori del territorio europeo ed essere comunque assoggettato alla disciplina in oggetto).
QUALI NOVITÀ?
Le novità rispetto alla precedente normativa in materia di privacy (D.Lgs 196/2003 Codice della privacy) sono molteplici. Senza la pretesa di completezza, si elencano qui di seguito le più rilevanti:
– CONCETTO DI ACCOUNTABILITY  intesa come responsabilizzazione. In sostanza, sia il titolare che il responsabile del trattamento devono rendere conto del proprio operato, dimostrando la corretta adozione del GDPR e la conformità del trattamento dei dati ad esso. In particolare, la nuova organica disciplina è instaurata sul risk based approach (in base al quale viene calcolata la misura dell’effettiva responsabilità del titolare o del garante tenendo conto della finalità del trattamento);
– OBBLIGO DI TENUTA E AGGIORNAMENTO DEL REGISTRO (scritto o elettronico) DELLE ATTIVITÀ DI TRATTAMENTO del TITOLARE (art. 30) e del RESPONSABILE del trattamento (art. 37)  tale registro non risulta obbligatorio per il settore privato con meno di 250 dipendenti, salvo che la relativa attività possa comportare un rischio per i diritti e le libertà dell’interessato o includa il trattamento di particolari categorie di dati (ossia dati sensibili, biometrici, relativi a condanne penali o reati);
– NOMINA D.P.O. (Data Protection Officer)  Si tratta, probabilmente, della novità maggiormente significativa. Tale nomina è obbligatoria per:
1. il settore delle Pubbliche Amministrazioni, con l’eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni;
2. il settore privato qualora il trattamento, per propria natura, ambito di applicazione e/o finalità, richieda il monitoraggio regolare e sistematico degli interessati “su larga scala”, ovvero, sempre su larga scala, coinvolga categorie particolari di dati sensibili.
In forza del sopra citato principio di accountability, il D.P.O. agisce in autonomia per garantire il rispetto della normativa della struttura in cui opera, fungendo da punto di incontro tra i soggetti attivi (imprese, professionisti, pubbliche amministrazioni) e il Garante della Privacy. Tale figura deve possedere specifiche competenze in ambito giuridico, informatico e manageriale. Nello specifico, il D.P.O. deve (art. 39 Compiti):
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo;
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento (…);
– VALUTAZIONE DEI RISCHI e ADOZIONE DELLE MISURE IDONEE  ai fini dell’elaborazione del sistema di sicurezza non sempre basta l’analisi dei rischi e la predisposizione di misure adeguate; in alcuni casi occorre dimostrare documentalmente di avere valutato l’impatto sulla protezione dei dati, da cui dipende la protezione delle persone. Tale valutazione deve essere effettuata prima del trattamento dei dati, al fine di acquisire le necessarie conoscenze sulle misure, sulle garanzie e sui meccanismi previsti per attenuare il rischio e assicurare la conformità del trattamento agli standard normativi. Nel caso di “rischio elevato” (sul cui concetto il Gruppo di lavoro WP29 ha elaborato specifiche linee guida), occorre effettuare una VALUTAZIONE D’IMPATTO, preceduta da un’eventuale consultazione preventiva dell’Autorità di controllo, cioè il Garante della Privacy (artt. 32, 35, 36);
– DATA BREACH  ossia la violazione dei dati personali. Essa viene definita dall’art. 4 del regolamento come violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Sulla base di tale premessa, ai sensi dell’art. 25, su tutti i titolari del trattamento grava l’obbligo di notificare entro 72 ore e comunque “senza giustificato ritardo” all’Autorità di controllo (Garante Privacy) tutte le violazioni di dati personali di cui vengano a conoscenza. Detto obbligo non sussiste nel caso in cui il titolare del trattamento sia in grado di dimostrare l’alta improbabilità che tale violazione presenti un rischio per i diritti e le libertà delle persone fisiche.
COSA FARE?
In concreto, tra i numerosi adempimenti previsti a carico delle imprese e delle strutture pubbliche, nell’imminenza, rientrano:
– la REVISIONE DELLA MODULISTICA (artt. 13, 14) relativa al trattamento dei dati e l’ADEGUAMENTO DEI SITI WEB (ad esempio, inserendo nell’informativa la possibilità di avvalersi di un eventuale “LEGITTIMO INTERESSE”, ossia una condizione che rende lecito il trattamento dei dati senza consenso in particolari ipotesi, ed inserendo la clausola di CONSENSO “INEQUIVOCO” per la trattazione dei dati personali ed “ESPLICITO” per particolari categorie di dati);
– la PROGETTAZIONE/ADOZIONE DI STRUMENTI/DISPOSITIVI/APPLICATIVI CONFORMI alla normativa (secondo il duplice modello PRIVACY BY DESIGN e PRIVACY BY DEFAULT);
– la FORMAZIONE dei soggetti autorizzati al trattamento;
– la nomina (se necessaria) del D.P.O.
PERCHÉ?
Posto che, ad oggi, è assente una reale sensibilità e consapevolezza da parte degli operatori e dei soggetti coinvolti dalla nuova disciplina, la stessa viene per lo più considerata in chiave meramente monetaria, in considerazione degli oneri e degli adempimenti previsti ai fini dell’adeguamento.
Di fatto, l’intento operato dal Legislatore europeo è stato quello di formulare una normativa armonizzata in risposta all’esigenza di maggiore tutela della privacy, sulla base del principio di libera circolazione dei dati, che si collega inevitabilmente ad uno dei capisaldi dell’UE, ossia il principio della libera circolazione di persone, merci e capitali.
In tal modo, in un’epoca in cui sempre più attività si svolgono all’interno dei dilatati confini del cyberspazio, il regolamento GDPR rappresenta un tentativo per restituire competitività alle imprese europee, consentendo alle stesse di misurarsi con le multinazionali straniere nel futuro dell’economia digitale.

Dott.ssa Valentina Minelli